인포스틸러 공격자들이 수익을 얻는 방식
인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 2022년 3분기 ASEC 리포트에 따르면, 인포스틸러는 실행 파일 포맷 기준 고객사로부터 접수되거나 수집된 악성코드 유형 중 절반이 넘는 수를 차지하고 있다. 다운로더 유형의 악성코드들도
CAPTCHA 화면이 있는 피싱 PDF 파일 대량 유포 중
올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분
외화송금 통지를 가장한 NanoCore RAT 유포중!
ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은
Job Offer Letter로 위장한 악성코드
ASEC 분석팀은 최근 스팸메일에 첨부된 워드파일을 통해 인포스틸러 유형의 KPOT 악성코드를 유포하는 정황을 확인하였다. 매크로 허용 시 최종적으로 인포스틸러 유형의 악성코드를 내려받는 사례는 종종 있었으나, 사용자를 속이기 위해 Job Offer Letter로 위장한 스팸메일에 특정암호가 걸린 워드파일을 이용한 것이 포인트라고 할 수 있다. 그림1) 악성코드 동작과정 스팸메일의 정확한 유입경로는 파악되지 않았으나,
파일리스로 동작하는 Remcos RAT 악성코드
ASEC 분석팀은 악성 Excel 매크로파일을 통해 Remcos RAT 악성코드가 유포되는 것을 확인하였다. Remcos RAT 악성코드에 대해서는 본문 하단에 링크한 게시글을 통해 상세하게 소개한 바 있다. 스팸메일을 통해 유입되는 방식은 동일하지만, 여러 단계의 로더를 거쳐서 최종적으로 Remcos RAT 악성코드가 파일리스로 동작한다는 것이 주목할 부분이라고 할 수 있다. 전체적인 동작 방식을 요약하면
비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격
ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. [그림1] – 우크라이나 국방부를 타겟으로 한 피싱메일 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이
오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포
MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성
채용 담당자 대상으로 유포 중인 폼북(Formbook) 악성코드
ASEC 분석팀은 최근 정보 유출 악성코드 중 하나인 폼북(Formbook)이 채용 담당자를 대상으로 유포 중인 것을 확인하였다. 다음 EML 파일은 국내 기업의 채용 담당자를 대상으로 한 스팸 메일로써, 공격자는 첨부된 파일을 이용해 입금 확인을 요청하는 내용이 적혀져 있다. 첨부된 LZH 포맷의 압축 파일을 압축 해제하면 대체전표(Transfer Slip)를 의미하는 “T_Slip_May09019203.exe” 이름의 실행
군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중
ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은
탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석
Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와
